기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
클러스터의 보안 설정 업데이트
이 Amazon MSK 작업을 사용하여 MSK 클러스터의 인증 및 클라이언트-브로커 암호화 설정을 업데이트합니다. 또한 상호 TLS 인증을 위해 인증서에 서명하는 데 사용되는 사설 보안 기관을 업데이트할 수도 있습니다. 클러스터 내(브로커 간) 암호화 설정은 변경할 수 없습니다.
클러스터는 보안 설정을 업데이트할 수 있는 ACTIVE
상태여야 합니다.
IAM, SASL 또는 TLS를 사용하여 인증을 활성화하는 경우 클라이언트와 브로커 간의 암호화도 활성화해야 합니다. 다음 표에는 가능한 조합이 나와 있습니다.
인증 | 클라이언트-브로커 암호화 옵션 | 브로커-브로커 암호화 |
---|---|---|
Unauthenticated | TLS, PLAINTEXT, TLS_PLAINTEXT | 활성화되거나 비활성화된 상태일 수 있습니다. |
mTLS | TLS, TLS_PLAINTEXT | 활성화된 상태여야 합니다. |
SASL/SCRAM | TLS | 활성화된 상태여야 합니다. |
SAL/IAM | TLS | 활성화된 상태여야 합니다. |
클라이언트-브로커 암호화가 TLS_PLAINTEXT
로 설정되고 클라이언트 인증이 mTLS
로 설정된 경우 Amazon MSK는 클라이언트가 연결할 수 있는 두 가지 유형의 리스너를 생성합니다. 하나는 클라이언트가 TLS 암호화가 포함된 mTLS 인증을 사용하여 연결할 수 있는 리스너이고 다른 하나는 클라이언트가 인증이나 암호화 없이 연결할 수 있는 리스너(일반 텍스트)입니다.
보안 설정에 대한 자세한 내용은 Amazon Managed Streaming for Apache Kafka의 보안 섹션을 참조하세요.
를 사용하여 클러스터의 보안 설정 업데이트 AWS Management Console
https://console.aws.amazon.com/msk/
에서 Amazon MSK 콘솔을 엽니다. -
업데이트하려는 MSK 클러스터를 선택합니다.
-
보안 설정 섹션에서 편집을 선택합니다.
-
클러스터에 사용할 인증 및 암호화 설정을 선택한 다음 변경 사항 저장을 선택합니다.
를 사용하여 클러스터의 보안 설정 업데이트 AWS CLI
-
클러스터에 적용하려는 암호화 설정이 포함된 JSON 파일을 생성합니다. 다음은 예입니다.
참고
클라이언트-브로커 암호화 설정만 업데이트할 수 있습니다. 클러스터 내(브로커 간) 암호화 설정은 업데이트할 수 없습니다.
{"EncryptionInTransit":{"ClientBroker": "TLS"}}
클러스터에 적용할 인증 설정이 포함된 JSON 파일을 생성합니다. 다음은 예입니다.
{"Sasl":{"Scram":{"Enabled":true}}}
다음 AWS CLI 명령을 실행합니다.
aws kafka update-security --cluster-arn
ClusterArn
--current-versionCurrent-Cluster-Version
--client-authentication file://Path-to-Authentication-Settings-JSON-File
--encryption-info file://Path-to-Encryption-Settings-JSON-File
이
update-security
작업의 출력은 다음 JSON과 같습니다.{ "ClusterArn": "arn:aws:kafka:us-east-1:012345678012:cluster/exampleClusterName/abcdefab-1234-abcd-5678-cdef0123ab01-2", "ClusterOperationArn": "arn:aws:kafka:us-east-1:012345678012:cluster-operation/exampleClusterName/abcdefab-1234-abcd-5678-cdef0123ab01-2/0123abcd-abcd-4f7f-1234-9876543210ef" }
-
update-security
작업 상태를 보려면 다음 명령을 실행합니다. 이때ClusterOperationArn을
명령 출력에서 가져온 ARN으로 대체합니다.update-security
aws kafka describe-cluster-operation --cluster-operation-arn
ClusterOperationArn
이
describe-cluster-operation
명령의 출력은 다음 JSON 예제와 같습니다.{ "ClusterOperationInfo": { "ClientRequestId": "c0b7af47-8591-45b5-9c0c-909a1a2c99ea", "ClusterArn": "arn:aws:kafka:us-east-1:012345678012:cluster/exampleClusterName/abcdefab-1234-abcd-5678-cdef0123ab01-2", "CreationTime": "2021-09-17T02:35:47.753000+00:00", "OperationArn": "arn:aws:kafka:us-east-1:012345678012:cluster-operation/exampleClusterName/abcdefab-1234-abcd-5678-cdef0123ab01-2/0123abcd-abcd-4f7f-1234-9876543210ef", "OperationState": "PENDING", "OperationType": "UPDATE_SECURITY", "SourceClusterInfo": {}, "TargetClusterInfo": {} } }
OperationState
값이PENDING
또는UPDATE_IN_PROGRESS
인 경우 잠시 기다린 다음describe-cluster-operation
명령을 다시 실행합니다.
API를 사용하여 클러스터의 보안 설정 업데이트
API를 사용하여 클러스터의 보안 설정을 업데이트하려면 을 참조하십시오. UpdateSecurity
참고
클러스터의 보안 설정을 업데이트하기 위한 AWS CLI 및 API 작업은 강력하지 않습니다. 즉, 보안 업데이트 작업을 호출하고 클러스터가 현재 가지고 있는 설정과 동일한 인증 또는 암호화 설정을 지정해도 해당 설정은 변경되지 않습니다.